VRP – o programa de caça de vulnerabilidades do Google.
Autor: Telium Networks
Publicação: 03/12/2021 às 11:00
A temporada de caça aos vírus e vulnerabilidades começou! Bom, na verdade, ela já está acontecendo há mais de duas décadas.
Segurança é um tópico recorrente aqui no blog, afinal, é um dos temas mais importantes da atualidade, tanto para o usuário doméstico quanto para as maiores corporações do mercado.
Uma vez que bugs, vírus e vulnerabilidades podem significar cifras bilionárias (com “b” mesmo) de danos e prejuízos. Por este motivo, empresas não poupam esforços e dinheiro para cercear toda e qualquer possibilidade de prejuízos causados por essas ameaças.
Foram esses esforços que deram início aos VRPs (Vulnerability Rewards Programs), ou programa de recompensa de vulnerabilidades.
O início
Ainda no início dos anos 2000, os VRPs surgiram sob o nome de “Bug Bounty Program” (Programa de Recompensa por Bugs), dando início ao “mercado de vulnerabilidades”, iniciativa em que empresas remuneram hackers éticos e profissionais independentes por encontrarem vulnerabilidades em seus sistemas.
A ideia é utilizar pessoas com o mesmo grupo de habilidades de hackers maliciosos para encontrar problemas na segurança do sistema e reparar antecipadamente essas brechas, evitando que problemas reais ocorram.
Dessa forma, tanto os hackers quanto as empresas ganham com esses programas.
Um exemplo notável do sucesso dessa prática é o Zero Day Initiative, um VRP que está ativo desde 2005, compensando financeiramente os hackers pelas descobertas de vulnerabilidade e auxiliando seus clientes a desenvolverem correções para elas.
O modelo de negócios
Uma maneira fácil de definir o modelo seria “Bugs for cash” (Bugs por dinheiro). Este modelo de mercado já existe desde os primórdios da internet, porém, bugs e vulnerabilidades eram negociados no mercado negro entre hackers que pretendiam fazer uso deles.
Os VRPs apenas trouxeram um mercado já existente para a legalidade, e ao invés de grupos maliciosos comprarem essas falhas de segurança, as próprias empresas as compram, melhorando assim seu próprio sistema.
Para os hackers, a principal vantagem é poder ser remunerado legalmente por suas habilidades e descobertas, com algumas recompensas chegando na casa dos U$ 100,000!
O VRP do google
Recentemente, um dos assuntos desse mercado é a atualização do VRP do Google.
10 anos após o lançamento do programa, o Google lança uma nova plataforma dedicada às recompensas para caçadores de bugs e vulnerabilidades.
O bem-sucedido programa de recompensas do Google já identificou mais de 11mil bugs e distribuiu cerca de US$ 30 milhões em recompensas para os cerca de 2000 caçadores.
Com o anúncio do “bughunters.google.com”, todos os VRPs da companhia, que inclui o próprio google, android, chrome e play, ficam mais próximos e com apenas um mesmo formulário para os caçadores que encontrarem problemas nessas plataformas.
Outra novidade interessante é o uso de “gameficação” para gerar “competição saudável” entre os caçadores, por meio de tabelas e classificações.
O que isso significa para o usuário?
A expansão dos VRPs é importantíssima para identificar e reparar problemas e vulnerabilidades. Isso se traduz em maior estabilidade e segurança para o usuário final.
Ao expandir para o grande público a possibilidade de ser remunerado por problemas encontrados, as empresas geram uma relação positiva com hackers e um retorno de valor considerável para seus consumidores.
Serviços internos
Apesar de ser um serviço importante, os VRPs não substituem equipes de TI, que devem trabalhar em conjunto com os relatórios enviados por meio destes programas.
É importante conciliar a vigilância ativa das equipes de TI com o trabalho “passivo” dos VRPs.
Se você tem dúvidas sobre serviços de monitoramento, entre em contato com a Telium e conheça uma opção ideal para a sua empresa!